4年前の小学校勤務時の写真データ87枚ほか、撮影データ自動バックアップするクラウドサービスがスミッシング被害
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」5月31日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説「4年前の小学校勤務時の写真データ87枚ほか、撮影データ自動バックアップするクラウドサービスがスミッシング被害」
・スミッシングの対策
・クラウドから情報漏えいを起こさない為の対策
今回の解説ニュース
元教員が利用していたクラウドサービスが乗っ取られてしまい、勤務当時に保存していたデータに攻撃者がアクセスできる状態になっていたということです。退職者から情報漏洩が発生しないようにするために、気を付けるべきポイントについて説明します。
今回のインシデントは、元教員がスミッシングの被害に遭ってしまい、個人で契約していたクラウドサービスのアカウントが乗っ取られたことで発生したということです。スミッシングとは、SMSとフィッシングを組み合わせた造語で、フィッシングが主にメールを悪用して被害者を攻撃者のサイトへ誘導することに対して、スミッシングは携帯電話のSMSを悪用します。スマートフォンが普及したことと、SMSのセキュリティ対策がメールより難しいことから被害が増加しています。
さらに、元教員が私物のスマートフォンで撮影した写真データが、乗っ取られたクラウドサービスへ自動的にバックアップされる設定となっていたため、元教員が勤務当時にスマートフォンで撮影した写真に攻撃者がアクセスできる状態になっていたということです。
スミッシングの対策
スミッシングの対策はフィッシングの対策と同様で、メッセージに書かれているURLやリンクをクリックした先のホームページで、IDやパスワード、クレジットカード番号や口座番号など、機密情報を入力することは避けましょう。また、ブックマークを活用するなどして、正しいURLであることを担保したうえで、金融機関や決済サービスを利用するようにしましょう。
ただし、スミッシングにはひとつだけ、フィッシング以上に気を付けなければならない点があります。それは「法律の壁」です。憲法第21条では「通信の秘密」が定められており、SMSで送られるメッセージの中身を第三者が検閲してはならないとされています。つまり、各事業者側がメールの中身によって判断する迷惑メールフィルタがSMSでは実施できないことになります。
よって、スミッシングに使われるSMSの送信に少なからずコストがかかるのにもかかわらず攻撃手段として選ばれる理由は、フィッシングのメールと比較しても、ユーザへの到達率や開封率が高いことが考えられます。
その他のトピックはこちら
クラウドから情報漏えいを起こさない為の対策
スマートフォンに保存されたデータは意図せずクラウドサービスへバックアップされてしまう可能性があります。その仕組みと気を付けるべきポイントについて説明します。
放送を聴かれるかたはこちら
記 にしもと